华尔街日报推出维基解密式服务 安全性存忧
5月6日,《华尔街日报》周四推出了爆料网站SafeHouse,承诺它可以让消息源“与《华尔街日报》安全地分享信息”。但部分安全专家却表示,这个以维基解密为灵感打造的网站其实到处是安全漏洞。
在SafeHouse网站上线数小时后,便有安全专家指出了该网站在保护匿名泄密者以及消息源保护政策细节上的诸多漏洞。安全研究人员雅各布·阿佩尔鲍姆(Jacob Appelbaum)在其Twitter的消息中写道:“提示:如果你打算创建一个泄密文件的网站——必须要有线索!”
阿佩尔鲍姆是匿名网站Tor的开发者,还曾是维基解密的志愿者。他说,SafeHouse执行安全套接字层(SSL)加密技术的做法不安全,这项技术用于确保用户与网站之间传输的数据无法读取。例如,当用户访问http://wsjsafehouse.com时,这个未加密的网站会提供该网站加密版HTTPS的链接。
但阿佩尔鲍姆指出,它没有采用一种名为“强制安全传输”(Strict Transport Security)的机制,将不安全的信息转变为加密连接。所以,用户网络中的潜在中间人就能通过SSL Strip这样的工具,在流量事实上未受保护的情况下,进入SafeHouse网站的加密版。
据阿佩尔鲍姆介绍,SafeHouse网站SSL服务器可与缺乏专业人员所称“完美前推安全”(perfect forward secrecy)的多种加密格式建立联系。阿佩尔鲍姆说:“这意味着任何带走服务器或成功入侵系统的人,都可以破译以前所有的流量。”实际上,维基解密网站本身也无法始终不露任何破绽地操作SSL这样的安全功能。
去年6月,由于维基解密未能及时更新其SSL证书,该组织的网站曾临时关闭。但即便SafeHouse的技术可以得到安全执行,其服务条款仍存在漏洞,让那些没有使用独立匿名软件或未通过正式保密认证的消息源泄露身份。